En innumerables ocasiones he requerido tomar una captura de red durante la fase de inicio de una maquina cliente o servidor. La manera usual de hacerlo es haciendo un “port mirroring” en el puerto del switch donde está conectada la máquina y utilizando una segunda máquina para capturar el tráfico.

¿Qué tal si pudiéramos disponer de un servicio que se ejecute durante el inicio de la máquina y realice la captura?

Pues bien, la manera de lograr esto es utilizando la utilidad del Resource Kit de Windows llamada srvany.exe que permite que el Network Monitor se ejecute como un servicio del sistema operativo. La configuración del servicio la haremos con SC.exe, la utilidad de manejo de servicios de Windows por línea de comandos.

El procedimiento para configurar la captura es el siguiente:

  1. Baja e instala el Network Monitor desde http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=983b941d-06cb-4658-b7f6-3088333d062f
  2. Crea una carpeta llamada c:\bootnetcap
  3. Copia srvany.exe a la carpeta c:\bootnetcap. Puedes copiar srvany.exe desde el CD del Resource Kit o bajarlo desde http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en
  4. Desde una línea de comando ejecuta
    c:\sc create capservice binpath= c:\bootnetcap\srvany.exe type= own start= auto
  5. Copia el siguiente comando
    "c:\program files\microsoft network monitor 3\nmcap.exe" /network * /capture /file c:\ bootnetcap \netcap.chn:100M /terminateWhen /TimeAfter 600 sec
    en una ventana de Notepad.exe y guárdalo como c:\bootnetcap\netcap.cmd
  6. Copia los siguientes commandos
    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\capservice\Parameters]
    "Application"="c:\\windows\\system32\\cmd.exe"
    "AppParameters"="/k c:\\\\bootnetcap\\\\netcap.cmd"
    en una ventana de Notepad.exe y guárdalo como c:\bootnetcap\capsrvconfig.reg
  7. Desde el Windows Explorer, haz doble click en c:\bootnetcap\capsrvconfig.reg para subir la configuración al registro.
  8. Reinicia la máquina. Durante el inicio se crearan los archivos .cap en la carpeta c:\bootnetcap. La captura estará activa durante los primeros 10 minutos luego del reinicio.